隨著信息化不斷發展，信息安全所面臨的危險已滲透到電力企業生產、經營的各個方面，信息安全問題變得越來越重要，文中通過對電力企業信息安全管理現狀進行分析，指出目前電力企業在信息安全體系和信息安全管理層面存在諸多風險，提出建設一套合理有效的企業信息安全管理策略，解決電力企業信息安全管理問題，提升電力企業信息安全管理水平，最后重點強調企業信息安全管理工作是一個系統性、整體性的管理工作，電力企業需要統籌兼顧，統一規劃并建立一套完善的信息安全保障體系。

隨著電力企業信息化的不斷發展，信息安全所面臨的危險同時滲透到電力企業生產、經營的各個方面，信息安全問題已成為影響電力安全生產的重大問題。

1 電力企業信息安全管理現狀

1.1電力企業信息安全形勢嚴峻

電力企業內部各業務數據在網絡流轉，一旦出現信息泄密或篡改數據的情況，將給國家造成難以估量的損失。電力企業網絡每天遭受惡意試探式攻擊達數萬次，如此龐大的信息網絡和高頻率的網絡攻擊，使電力企業信息安全的局勢尤為嚴峻。同時電力企業各種信息在業務流程的參與者之間流動，如果系統關鍵數據被竊取和篡改，信息系統的非正常停運和癱瘓，將會嚴重影響電力企業和電力系統的正常運行。

1.2電力企業信息安全防護困難

電力企業信息系統是由眾多復雜的子系統(如廣泛分布于各級調度中心、發電廠、變電站的業務系統)所組成的超大規模、廣域分布和分級遞階的大系統，各種業務系統之間需要進行復雜的信息交換和相互協作。如何確保電力系統不同企業之間及其內部在進行方便、高效信息交換和相互協作的同時，防止來自于內外域各種用戶非法或無意的攻擊、誤操作，防止信息泄漏等，就成為一個極為關鍵的瓶頸問題。

1.3電力企業信息安全防護相關規程

2005年國家電力監管委員會頒布了《電力二次系統安全防護規定》用以指導電力部門在信息化和安全方面的建設。國際電工委員會的IEC 27001標準規定了信息安全管理體系(ISMS)要求與信息安全控制要求，與之配套的IEC 17799標準提供了一套綜合的、由信息安全最佳慣例組成的實施規則。IEC 27001和IEC 17799標準已在我國電網企業廣泛應用。國際大電網會議(CIGRE)于2006年至2009年成立了工作組，并發布了適用于電力公司信息安全框架、風險評估和安全技術的規范，將基線控制、邏輯圖等引入電力公司信息安全管理中。

2 電力企業信息安全管理風險分析

2.1信息安全體系層面

2.1.1信息網絡結構和邊界風險

電力企業在信息網絡結構上存在核心交換機選型不合理等問題，如核心交換機是一臺二層交換機，網絡的安全問題只有通過應用系統去解決。另外，電力企業的信息大多以各種方式與互聯網連接，由于不同安全域之間的網絡連接沒有有效的訪問控制措施，來自互聯網的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

2.1.2病毒侵害和網絡攻擊

電子郵件系統的廣泛使用，使計算機病毒擴散速度大大加快，網絡成了病毒傳播的最好途徑，計算機病毒已成為電力企業網絡最嚴重的安全風險之一。目前網絡攻擊手法已經融合了多種技術，部分電力企業中的防病毒軟件只能查殺病毒，卻不能有效地阻止病毒的傳播;入侵檢測系統可以檢查出蠕蟲在網絡上傳播，卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染，卻不能查殺蠕蟲。企業各個安全產品單獨工作，無法系統地查殺病毒并防止病毒傳播。

2.1.3系統安全風險

系統安全風險主要指操作系統、數據庫系統和各種應用系統所存在的安全風險。目前不少電力企業網絡使用的操作系統仍然是以Windows系列操作系統為主。不管使用哪一種操作系統都存在大量已知和未知的漏洞，這些漏洞可以導致人侵者獲得管理員的權限，可以被用來實施拒絕服務等攻擊。

2.1.4信息日常傳遞風險

電力企業和外部的單位都有著許多工作聯系，日常許多信息數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險，例如被非法用戶截取，從而泄露企業機密;被非法篡改，造成數據混亂、信息錯誤從而造成工作失誤等。非法用戶還有可能假冒合法身份，發送虛假信息，給正常的生產經營秩序帶來棍亂，造成企業損失。

2.2信息安全管理層面

2.2.1信息安全管理措施不到位

電力企業因配置不當或使用過時的操作系統、郵件程序等，造成企業內部網絡存在入侵者可利用的缺陷。當廠商通過發布補丁或升級軟件來解決安全問題時，許多用戶系統不進行同步升級，原因是管理者未充分意識到網絡不安全的風險所在，未引起重視。有些信息系統采用開放的操作系統，安全級別低，又沒有附加安全措施，難以抵御黑客和信息炸彈的攻擊。